Instalacija i konfiguracija NTP klijenta na Linuxu. Instalacija i konfiguracija ntp servera vremena na Linuxu Instaliranje ntp servera

Ponekad se sat na Ubuntu računaru gasi, sporo ili brzo. Iako ova situacija nije kritična, vrlo je neugodna i može imati katastrofalne posljedice, u rasponu od zbrke u zapisnicima zbog nejasnoća vremena do kašnjenja na sastanak jer ste vjerovali pogrešnim satima. Takođe, tačno vreme je važno za ispravan rad nekih programa, kao što je Tor anonymizer.

Srećom, to se ne dešava tako često i obično je povezano sa takvim nestandardnim radnjama kao što je učitavanje operativnih sistema pomoću različitih algoritama za pohranjivanje mašinskog vremena ili resetovanje BIOS memorije. Ali to ne znači da ne morate ništa da radite, možete podesite lokalnu sinhronizaciju vremena putem interneta, ovo je još uvijek zgodna stvar ako često obarate sat i previše ste lijeni da biste ga svaki put podesili. Ubuntu koristi NTP uslugu i ntpd daemon da to uradi. O njima će biti riječi u ovom članku.

Prvo, malo o tome kako vidjeti vrijeme sa terminala u Ubuntuu. Da saznate trenutno vrijeme, pokrenite naredbu:

Za pregled podataka u UTC formatu upišite:

Hajde da saznamo koliko vrijeme našeg Ubuntua zaostaje za referentnim:

sudo ntpdate -q ntp.ubuntu.com

Nadalje, postoji mnogo teorije, ako ste došli ovdje samo zbog uputa za instalaciju, slobodno skrolujte dolje. UTC je skraćenica za Coordinated Universal Time, odnosno, Coordinated Universal Time. Ovaj GMT standard je isti za cijeli svijet, i u tom obliku je sistemsko vrijeme pohranjeno u Linuxu, uključujući Ubuntu, a korekcija vremenske zone je već dodana lokalno za svakog korisnika. Tu leži uzrok vremenskih kvarova kada se koriste Windows i Unix.

Kao što sam rekao, Ubuntu pohranjuje vrijeme u UTC formatu, dok Windows koristi lokalni format za to već uz dodatak vremenske zone. Svaki put kada se računar isključi ili ponovo pokrene, operativni sistem čuva svoju vrednost tajmera u BIOS tajmeru i čita je odatle kada se pokrene.

I ispostavilo se da Microsoftov OS štedi lokalno vrijeme, a Ubuntu misli da je UTC... da li već shvatate šta se dešava? Tako je, što je više takvih ponovnog pokretanja, to će se vrijeme više razlikovati od pravog. Ali već sam skrenuo sa teme. Kako podesiti algoritme sinhronizacije u oba sistema, neću ovdje govoriti, moj današnji cilj je sinhronizacija vremena u Ubuntu.

Instaliranje NTP-a u Ubuntu

Pomoćni program za sinhronizaciju vremena ntpdate dolazi sa ubuntuom i automatski se pokreće pri pokretanju. Ako želite sinkronizirati vrijeme da se sada pokrene u terminalu:

ntpdate -s ntp.ubuntu.com

Usluga ntpd nije uključena u standardni paket, njen zadatak je da stalno prati sistemski sat i ispravlja sva odstupanja. Da instalirate ntpd, upišite:

sudo apt-get install ntp

Da pokrenete demona, otkucajte:

sudo service ntp start

I za dodavanje automatskom učitavanju:

sudo rc-update add ntp defaults

Možete konfigurirati servere s kojima će naš Ubuntu provjeriti u /etc/ntp.conf datoteci. Format unosa je adresa servera, na primjer standardna konfiguracija je:

# Koristite servere iz NTP Pool projekta. Odobreno od strane Ubuntu tehničkog odbora
# na 2011-02-08 (LP: #104525). Pogledajte http://www.pool.ntp.org/join.html za
# više informacija.
server0.ubuntu.pool.ntp.org
server1.ubuntu.pool.ntp.org
server2.ubuntu.pool.ntp.org
server3.ubuntu.pool.ntp.org

Nakon uređivanja konfiguracije, ne zaboravite ponovo pokrenuti uslugu:

sudo service ntp restart

Rješavanje problema

Usluga sinhronizacije koristi port 123 za povezivanje sa serverom, tako da ako koristite zaštitni zid, pristup ovim portovima može biti blokiran, morate dozvoliti pristup dodavanjem sledećih pravila:

iptables -A izlaz -p udp -s 192.168.1.1 --sport 1024:65535 -d 0/0 --dport 123 -m stanje --stanje NOVO, UTVRĐENO -j PRIHVATI

iptables -A ulaz -p udp -s 0/0 --sport 123 -d 192.168.1.1 --dport 1024:65535 -m stanje --stanje UTVRĐENO -j PRIHVATI

Sada će sat na vašem računaru uvijek raditi ispravno.

Usluga Windows Time, uprkos svojoj prividnoj jednostavnosti, jedna je od osnova neophodnih za normalno funkcionisanje domena Active Directory. U ispravno konfigurisanom AD okruženju, vremenska usluga funkcioniše ovako: Računari korisnika dobijaju tačno vreme od najbližeg kontrolera domena na koji su se prijavili. Svi kontroleri domena zauzvrat primaju tačno vrijeme od DC-a sa " PDC emulator“, a PDC kontroler sinkronizira svoje vrijeme sa određenim . Eksterni izvor vremena može biti jedan ili više NTP servera, kao što je time.windows.com ili NTP server vašeg ISP-a. Takođe imajte na umu da, prema zadanim postavkama, klijenti u domeni sinhronizuju vreme koristeći Windows vremensku uslugu (Windows Time), a ne NTP.

Ako ste suočeni sa situacijom da se vrijeme na klijentima i kontrolerima domena razlikuje, moguće je da vaša domena ima problema sa sinhronizacijom vremena i ovaj članak će vam biti od koristi.

Prije svega, odaberite odgovarajući NTP server koji možete koristiti. Lista javnih NTP servera dostupna je na http://ntp.org. U našem primjeru koristit ćemo NTP servere iz ru.pool.ntp.org bazena:

• 0.ru.pool.ntp.org
• 1.ru.pool.ntp.org
• 2.ru.pool.ntp.org
• 3.ru.pool.ntp.org

Postavljanje vremenske sinkronizacije domene pomoću grupnih pravila sastoji se od dva koraka:

1) Kreirajte GPO za kontroler domene sa PDC ulogom
2) Kreirajte GPO za klijente (opciono)

Konfiguriranje politike NTP sinhronizacije na PDC kontroleru domene

Ovaj korak uključuje konfiguriranje kontrolera domene s ulogom PDC emulatora za sinkronizaciju vremena s vanjskim NTP serverom. Jer teoretski se uloga PDC emulatora može kretati između kontrolera domena, moramo napraviti politiku koja bi se primjenjivala samo na trenutnog vlasnika PDC uloge. Da biste to učinili, u upravljačkoj konzoli Konzola za upravljanje grupnim politikama(GPMC.msc), kreirajte novi . Za ovo, u odjeljku WMI filteri kreirajte filter sa imenom PDC emulator i WMI upit: Odaberite * iz Win32_ComputerSystem gdje je DomainRole = 5

Zatim kreirajte novi GPO i dodijelite ga kontejneru Domain Controllers.

Prebacite se na način uređivanja pravila i proširite sljedeći odjeljak pravila: Konfiguracija računara->Administrativni predlošci->Sistem->Windows Time Service->Dobavljači vremena

Zainteresovani smo za tri politike:

• Konfigurišite Windows NTP klijenta: Omogućeno (Postavke politike su opisane u nastavku)
• Omogućite Windows NTP klijent: Omogućeno
• Omogućite Windows NTP server: Omogućeno

U postavkama politike Konfigurišite Windows NTP klijenta navedite sljedeće opcije:

• NtpServer: 0.ru.pool.ntp.org,0x1 1.ru.pool.ntp.org,0x1 2.ru.pool.ntp.org,0x1 3.ru.pool.ntp.org,0x1
• tip:NTP
• CrossSiteSyncFlags: 2
• ResolvePeerBackoffMinutes: 15
• Riješite Peer BAckoffMaxTimes: 7
• SpecilalPoolInterval: 3600
• EventLogFlags: 0

Savjet. Ne zaboravite da konfigurišete zaštitni zid tako da PDC server može da pristupi eksternim NTP serverima preko NTP protokola (UDP port 123).

Bilješka. Obratite pažnju na sintaksu u polju NtpServer. Format za navođenje više NTP servera je sljedeći: ntsrv1.org,0x1 ntpsrv2.org,0x1(separator prostora). Snimak ekrana sadrži pogrešne podatke!

Primijenite filter koji ste ranije kreirali PDC emulator ovoj politici.

Savjet. Možete pronaći ime servera sa PDC ulogom koristeći naredbu: netdom query fsmo

Ostaje ažurirati politike na PDC kontroleru:
gpupdate /force

Ručno pokretanje sinhronizacije vremena:
w32tm /resync

Provjerite trenutne postavke NTP-a:
w32tm /query /status

Savjet. U slučaju da vrijeme nije sinhronizirano, ponovo pokrenite Windows Time uslugu i resetirajte trenutne postavke:
net stop w32time
w32tm.exe /unregister
w32tm.exe /registar
net start w32time

Konfiguriranje vremenske sinkronizacije na klijentima domene

U okruženju Active Directory, prema zadanim postavkama, klijenti domene sinkroniziraju svoje vrijeme s kontrolerima domena (opcija Nt5DS– sinkronizirati vrijeme prema hijerarhiji domena). U pravilu, ova shema funkcionira i ne zahtijeva rekonfiguraciju. Međutim, ako imate problema sa sinkronizacijom vremena na klijentima domene, možete pokušati natjerati server vremena da se dodijeli klijentima koristeći GPO.

Da biste to učinili, kreirajte novi GPO i dodijelite ga kontejnerima (OU) sa računarima. U uređivaču GPO idite na Konfiguracija računara -> Administrativni predlošci -> Sistem -> Windows Time Service -> Dobavljači vremena i omogućiti politiku Konfigurišite Windows NTP klijenta.

Navedite PDC ime ili IP adresu kao NTP server, na primjer msk-dc1.site,0x9 i NT5DS kao tip sinhronizacije

Ažurirajte postavke grupne politike na klijentima i provjerite da li su klijenti uspješno sinkronizirali svoje vrijeme s PDC-om.

Savjet. Navedena shema je primjenjiva samo na male domene. Za velike distribuirane domene sa mnogo DC-ova i lokacija, moraćete da kreirate posebnu politiku za svaku lokaciju tako da klijenti sinhronizuju svoje vreme sa DC-ovima na lokaciji.

Network Time Protocol je mrežni protokol za sinhronizaciju internog sata računara koristeći mreže promenljive latencije zasnovane na komutaciji paketa.

Iako tradicionalno NTP koristi UDP za svoj rad, on je sposoban i za rad preko TCP-a. NTP sistem je izuzetno otporan na promjene u kašnjenju medija.

Vrijeme je u NTP sistemu predstavljeno kao 64-bitni broj koji se sastoji od 32-bitnog brojača sekunde i 32-bitnog brojača frakcija sekunde, što omogućava prijenos vremena u rasponu od 2-32 sekunde, sa teoretskom tačnošću od 2 -32 sekunde. Budući da se vremenska skala u NTP ponavlja svake 232 sekunde (136 godina), primalac mora barem približno znati trenutno vrijeme (sa preciznošću od 68 godina). Takođe imajte na umu da se vreme meri od ponoći 1. januara 1900. godine, a ne od 1970. godine, tako da se skoro 70 godina (uključujući i prestupne godine) mora oduzeti od NTP vremena da bi se vreme ispravno uskladilo sa Windows ili Unix sistemima .

Kako radi

NTP serveri rade u hijerarhijskoj mreži, svaki nivo hijerarhije se naziva sloj (stratum). Nivo 0 je predstavljen referentnim taktom. GPS signal (Global Positioning System) ili ACTS (Automated Computer Time Service) se uzima kao referenca. Na nultom nivou, NTP serveri ne rade.

Tier 1 NTP serveri primaju podatke o vremenu iz referentnog sata. Tier 2 NTP serveri su sinhronizovani sa serverima Tier 1. Može postojati do 15 nivoa ukupno.

NTP serveri i NTP klijenti primaju podatke o vremenu sa servera Tier 1, iako bi u praksi bilo bolje da NTP klijenti to ne rade jer bi hiljade pojedinačnih zahtjeva klijenata bilo previše za servere Tier 1. Bolje je postaviti lokalni NTP server koji će vaši klijenti koristiti za dobijanje informacija o vremenu.

Hijerarhijska struktura NTP protokola je tolerantna na greške i redundantna. Pogledajmo primjer njegovog rada. Dva Tier 2 NTP servera se sinhronizuju sa šest različitih Tier 1 servera, svaki na nezavisnoj vezi. Interni hostovi su sinhronizovani sa internim NTP serverima. Dva Tier 2 NTP servera međusobno koordiniraju vrijeme. Ako veza sa Tier 1 serverom ili jednim od Tier 2 servera ne uspije, redundantni Tier 2 server preuzima proces sinhronizacije.

Slično, domaćini i uređaji Tier 3 mogu koristiti bilo koji od servera Tier 2. Što je još važnije, posedovanje redundantne mreže NTP servera osigurava da su vremenski serveri uvijek dostupni. Sinhronizacijom sa višestrukim serverima vremena, NTP koristi podatke iz svih izvora za izračunavanje najtačnijeg vremena.

Vrijedi napomenuti da NTP protokol ne postavlja vrijeme u njegovom najčistijem obliku. Ispravlja lokalni sat koristeći vremenski pomak, razliku između vremena na NTP serveru i lokalnog sata. NTP serveri i klijenti prilagođavaju svoje satove sinhronizacijom sa trenutnim vremenom postepeno ili odjednom.

Za rad servera i klijenta NTP odgovori " Windows Time Service" ("W32Time").
Za postavljanje servera za Windows OS uradite sledeće korake:

1. Postavite automatski početak usluge " W32Time". Da biste to učinili, u grani registra
"HKLM\System\CurrentControlSet\Services\W32Time " postavljen za parametar " start "značenje 2 .

2. Zatim otvorite " HKLM\System\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer "i instaliraj" Omogućeno "u jedinica.

3.Uređujemo sljedeće parametre:
- grana: " HKLM\System\CurrentControlSet\Services\W32Time\Parameters ", parametar " tip "
NoSync - NTP- Server nije sinkroniziran ni sa jednim vanjskim izvorom vremena. Sat je ugrađen u mikrokolo. CMOS sam server;
NTP - NTP-server je sinkroniziran sa vanjskim vremenskim serverima, koji su navedeni u vrijednosti registra " NtpServer";
NT5DS - NTP-server vrši sinhronizaciju prema hijerarhiji domena;
AllSync - NTP- server koristi sve dostupne izvore za sinhronizaciju;

Parametar " NtpServer ", koji specificira host sa kojim će ovaj server sinkronizirati vrijeme. Ako je potrebno, možete dodati nekoliko hostova unosom DNS imena ili IP adrese odvojene razmacima. Na kraju svakog imena, odvojenog zarezima, možete dodati zastavicu koja određuje način sinhronizacije sa serverom vremena.
Dozvoljene su sljedeće vrijednosti:
0x1 - Specijalni interval, koristite poseban interval anketiranja;
0x2- način rada UseAsFallbackOnly;
0x4 - SymmetricActive, simetrični aktivni mod;
0x8 - klijent, slanje zahtjeva u klijentskom modu.
Kada koristite zastavu " SpecialInterval", potrebno je postaviti vrijednost intervala u ključu " SpecialPollInterval". Kada je vrijednost zastave " UseAsFallbackOnly" Vremenskom servisu je rečeno da će se ovaj server koristiti kao server u pripravnosti, a drugi serveri liste će biti kontaktirani prije sinhronizacije s njim. Koristi se simetrični aktivni način rada NTP-serveri podrazumevano, a klijentski režim se može koristiti u slučaju problema sa sinhronizacijom;

Filijala " HKLM\System\CurrentControlSet\Services\W32Time\Config ", parametar " Announce Flags „odgovoran za to kako se izjašnjava NTP-server i može poprimiti sljedeće vrijednosti:
0x0 (Nije vremenski server) - server se ne oglašava putem NetLogon kao izvor vremena. On može odgovoriti NTP zahtjeva, ali susjedi to neće moći prepoznati;
0x1 (Uvijek server vremena) - server će se uvijek oglasiti bez obzira na status;
0x2 (Automatski server vremena) - server će se samo oglašavati ako dobije pouzdano vrijeme od drugog susjeda (NTP ili NT5DS);
0x4 (Uvijek pouzdan server vremena) - server će uvijek tvrditi da je pouzdan izvor vremena;
0x8 (Automatski pouzdani server vremena) - kontroler domene se automatski proglašava pouzdanim ako je - PDC emulator šumskog korijenskog domena. Ova zastavica dozvoljava glavnu PDC skele da se deklarira kao ovlašteni izvor vremena čak i u nedostatku komunikacije sa višim NTP-serveri. Nema kontrolera ili servera člana (oni koji imaju zadanu zastavicu 0x2) ne može tvrditi da je pouzdan izvor vremena ako ne može pronaći izvor za sebe.
Značenje " Announce Flags " može biti zbir njegovih zastavica, na primjer:
10=2+8 - NTP- server se deklarira kao pouzdan izvor vremena, pod uvjetom da prima vrijeme od pouzdanog izvora ili jeste PDC root domena. Zastava 10 je standardno postavljen i za članove domene i za samostalne servere.
5=1+4 - NTP Server uvijek tvrdi da je pouzdan izvor vremena. Na primjer, da proglasite server člana (ne kontroler domene) kao pouzdan izvor vremena, potrebna vam je zastavica 5 ;

Filijala " HKLM\System\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient ", parametar " SpecialPollInterval " se postavlja u sekundama i podrazumevano je na 604800 što je jedna sedmica. Ovo je dosta, pa biste trebali smanjiti vrijednost, recimo, na sat ( 3600 ).

4. Nakon što su podešavanja napravljena, možete pokrenuti servis vremena: " net start w32time ". Ako je usluga već bila pokrenuta, primijenite konfiguraciju naredbom " w32tm /config /update " i ponovo pokrenite: " net stop w32time && net start w32time ".

5. Nakon ponovnog pokretanja servisa NTP- server je već aktivan i može opsluživati ​​klijente. Ovo možete provjeriti naredbom " w32tm /query /configuration ". Ova komanda prikazuje kompletnu listu servisnih opcija. Ako " NtpServer"sadrži niz" Omogućeno:1 “, onda je sve u redu.

Dobar dan, gosti i redovni čitaoci. Postepeno prelazimo sa osnova na dublje proučavanje Linuxa. Danas želim da recenziram rad ntp protokola, kao i podešavanje vremenski serveri na linuxu(ntp server). Pa počnimo s teorijom.

NTP protokol

Mrežni protokol vremena (NTP)- mrežni protokol za sinhronizaciju internog sata računara koristeći mreže sa varijabilnom latencijom (čitaj "širina" / kvalitet kanala).

NTP koristi za svoj rad UDP protokol i port 123.

Trenutna verzija protokola - NTP 4. NTP koristi hijerarhijski sistem "satni nivoi"(takođe se zovu Stratum). Nivo 0 (ili Stratum 0)- to su obično uređaji koji su atomski satovi (molekularni, kvantni), GPS satovi ili radio satovi. Ovi uređaji se obično ne objavljuju na World Wide Webu, već su direktno povezani Tier 1 vremenski serveri preko RS-232 protokola (označeno žutim strelicama na ilustraciji). Nivo 1 sinhronizovan sa satom visoke preciznosti nivo 0, obično rade kao izvori za servere nivo 2. Nivo 2 sinhronizovan sa jednom od mašina nivo 1, a moguća je i sinhronizacija sa serverima vašeg nivoa. Nivo 3 radi slično kao i drugi. Obično se u mreži objavljuju serveri nivoa od drugog i nižeg. NTP protokol podržava do 256 nivoa. Takođe bih želeo da napomenem da serveri nivoa 1 i 2, a ponekad i 3 nisu uvek otvoreni za javnost. Ponekad, da biste se sinhronizovali sa njima, potrebno je da pošaljete zahtev poštom - administratorima domena.

Zašto postoji ograničenje pristupa serverima? Sa prelaskom na svaki nivo, greška u odnosu na primarni server se neznatno povećava, ali povećanje ukupnog broja servera i stoga .

Dodjela NTP servera na lokalnoj mreži

Zašto nam je potreban NTP server? Na primjer, postoje usluge u operativnim sistemima koje mogu ovisiti o sinhroniziranom vremenu. Najznačajniji primjer takvih usluga je protokol za provjeru autentičnosti Kerberos. Da bi funkcionisao, potrebno je da se na računarima kojima se pristupa preko ovog protokola sistemsko vreme ne razlikuje više od 5 minuta. Osim toga, tačno vrijeme na svim računarima uvelike olakšava analizu sigurnosnih dnevnika prilikom istrage incidenata na lokalnoj mreži.

Načini rada NTP servera/klijenta

Klijent/Server

Ovaj način rada je daleko najčešće korišten na Internetu. Šema rada je klasična. Klijent šalje zahtjev, na koji server neko vrijeme šalje odgovor. Klijent se konfiguriše korišćenjem direktive servera u konfiguracionoj datoteci, koja specificira DNS ime vremenskog servera.

Simetrični aktivni/pasivni način rada

Ovaj režim se koristi ako se vremenska sinhronizacija vrši između velikog broja ravnopravnih mašina. Pored činjenice da se svaka mašina sinhronizuje sa eksternim izvorom, ona se takođe sinhronizuje sa svojim kolegama, delujući kao klijent i server vremena za njih. Stoga, čak i ako mašina "izgubi" vanjski izvor, i dalje će moći dobiti tačno vrijeme od svojih susjeda. Susjedi mogu raditi u dva načina rada - aktivnom i pasivnom. Kada radi u aktivnom režimu, mašina sama prenosi svoje vreme na sve susedne mašine navedene u sekciji peers konfiguracionog fajla ntp.conf. Ako susjedi nisu navedeni u ovom dijelu, tada se smatra da je mašina u pasivnom režimu. Autentifikacija se mora koristiti kako bi se spriječilo da napadač kompromituje druge mašine predstavljajući se kao aktivni izvor.

Način emitiranja

Ovaj način rada se preporučuje kada mali broj servera opslužuje veliki broj klijenata. Kada radi u ovom režimu, server periodično emituje pakete koristeći podmrežnu adresu emitovanja. Klijent konfigurisan za sinhronizaciju na ovaj način prima serverov broadcast paket i sinhronizuje se sa serverom. Karakteristika ovog režima je da se vreme isporučuje unutar iste podmreže (ograničenje emitovanja paketa). Osim toga, autentifikacija se mora koristiti za zaštitu od uljeza.

Multicast način rada

Ovaj način rada je sličan emitiranju na mnogo načina. Razlika je u tome što se za isporuku paketa koriste multicast adrese mreža klase D IP adresnog prostora. Klijenti i serveri dobijaju adresu multicast grupe koju koriste za vremensku sinhronizaciju. Ovo omogućava sinhronizaciju grupa mašina koje se nalaze na različitim podmrežama, pod uslovom da ruteri koji ih povezuju podržavaju IGMP protokol i konfigurisani su za prenos multicast saobraćaja.

Multicast način rada

Ovaj način rada je nov za četvrtu verziju NTP protokola. To implicira da klijent traži mnogocast servere među svojim susjedima mreže, prima vremenske uzorke od svakog od njih (koristeći kriptografiju) i na osnovu ovih podataka bira tri „najbolja“ multiplecast servera sa kojima će se klijent sinhronizirati. U slučaju kvara na jednom od servera, klijent automatski ažurira svoju listu.

Za prenos vremenskih uzoraka, klijenti i serveri koji rade u režimu višestrukog prenosa koriste adrese multicast grupa (mreže klase D). Klijenti i serveri koji koriste istu adresu formiraju istu asocijaciju. Broj asocijacija je određen brojem korištenih multicast adresa.

Vrijeme u Linuxu

Ukratko ću vam reći koje vrijeme postoji u Linuxu i kako ga postaviti. U Linuxu, kao iu drugim OS, postoje 2 puta. Prvo - hardver , koji se ponekad naziva Sat realnog vremena, skraćeno ( RTC) (oni su i BIOS satovi) obično su povezani sa oscilirajućim kvarcnim kristalom, koji ima tačnost do nekoliko sekundi dnevno. Preciznost zavisi od raznih fluktuacija, kao što je temperatura okoline. Drugi sat - interni softverski sat , koji rade kontinuirano, uključujući i tokom prekida u sistemu. Oni su podložni fluktuacijama povezanim sa visokim opterećenjem sistema i latencijom prekida. Međutim, sistem obično čita hardverski sat pri pokretanju sistema, a zatim koristi sistemski sat.

Datum i vrijeme operativnog sistema postavljeno pri pokretanju na osnovu vrijednosti hardverski sat, kao i podešavanja vremenske zone. Postavke vremenske zone su preuzete iz datoteke /etc/localtime. Ova datoteka je veza (ali češće kopija) jedne od datoteka u strukturi direktorija /usr/share/zoneinfo/.

Linux hardverski satovi mogu pohraniti vrijeme u formatu UTC(analog GMT), ili trenutno teritorijalno vrijeme. Opšta preporuka o tome koje vrijeme treba postaviti (?) je sljedeća: ako računar ima nekoliko operativnih sistema i jedan od njih je Windows, onda morate koristiti trenutno vrijeme (jer Windows uzima vrijeme od BIOS-a/CMOS-a i uzima ga u obzir lokalni). Ako se koriste samo operativni sistemi UNIX familije, poželjno je da se vrijeme pohrani u BIOS u UTC formatu.

Nakon pokretanja operativnog sistema, sat operativnog sistema i BIOS su potpuno nezavisni. Sistemski kernel sinhronizuje sistemski sat sa hardverskim satom svakih 11 sekundi.

Nakon nekog vremena može postojati razlika od nekoliko sekundi između hardverskog i softverskog sata. Koji sat drži tačno vrijeme? Ni jedno ni drugo dok se ne postavimo vremenska sinhronizacija.

Bilješka:

Linux kernel uvijek pohranjuje i izračunava vrijeme kao broj sekundi od ponoći 1. januara 1970 godine, bilo da je vaš sat postavljen na lokalno ili univerzalno vrijeme. Konverzija u lokalno vrijeme se vrši tokom procesa upita.

Budući da je broj sekundi od 1. januara 1970. UTC pohranjen kao potpisani 32-bitni cijeli broj (ovo vrijedi za Linux/Intel sisteme), vaš sat će prestati raditi oko 2038. Linux nema Y2K problem, ali ima Y2038 problem. Srećom, do tada će svi linuxovi raditi na 64-bitnim sistemima.64-bitni cijeli broj će sadržavati naš sat do otprilike 292271-milionske godine.

NTP server Linux

Uvod

Postoji mnogo implementacija za vremensku sinkronizaciju za Linux OS. Najpoznatiji su Xntpd (NTP verzija 3), ntpd (NTP verzija 4), Crony i ClockSpeed. U našem primjeru koristit ćemo ntp server ntpd.

ntpd daemon je i vremenski server i klijent, ovisno o postavkama konfiguracijske datoteke /etc/ntpd.conf (ponekad /etc/ntp.conf), demon može "prihvatiti" vrijeme sa udaljenih servera i "distribuirati" vrijeme za druge domaćine.

Generale kola za vremensku sinhronizaciju na lokalnoj mreži je kako slijedi: potrebno je da imate 1 ili 2 servera sa pristupom globalnoj mreži, koji će primati vreme sa interneta. Sinhronizujte sve računare na lokalnoj mreži sa navedenim serverima koji primaju vreme sa Interneta.

Instaliranje ntpd-a

zapravo, instalacija demona svodi se na instalaciju sljedećih paketa: ntp(paket uključujući i samog demona), ntpdate(uslužni program za ručnu sinhronizaciju vremena - zastario), ntp-doc(dokumentacija paketa), u nekim distribucijama ćete morati instalirati isto ntp-utils(dijagnostički uslužni programi), neki od njih su uključeni u ntp paket. Kako instalirati programe na Linux, opisao sam u. Nakon instaliranja paketa, u većini distribucija, demon će već biti konfiguriran kao ntp klijent (na primjer, ovako je bilo u Debianu). Shodno tome, glavni konfiguracioni fajlovi su automatski kreirani: /etc/ntp.conf i /var/lib/ntp/ntp.drift i demon je automatski pokrenut.

Prije konfigurisanja demona za sinhronizaciju sa vanjskim svijetom, predlažem da se trenutni sistemski datum postavi na vrijednost koja je što bliža stvarnom vremenu. Postavljanje datuma u Linuxu proizveden od strane komande: datum MMDDhhmmCCYY.ss, gdje MM - mjesec, DD - dan u mjesecu, hh - sati, mm - minute, CCYY - 4 cifre godine, ss - sekunde. Istovremeno, vrijednosti CCYY.ss nije potrebno specificirati.

Kao što vidite, navedena komanda će postaviti trenutni datum i vrijeme na 27. decembar 2010, 20:06:30. naredba datuma bez parametara, prikazati trenutno sistemsko vrijeme. Ova komanda ima gomilu opcija, koje se mogu naći u man date.

Takođe, potrebno je da pravilno konfigurišete hardverski sat i vremensku zonu. Kao što je gore spomenuto, vremenska zona se konfiguriše kopiranjem potrebne datoteke zone iz direktorija /usr/share/zoneinfo/ da fajl /etc/localtime:

Ntp-server:~# cp /usr/share/zoneinfo/Europe/Moscow /etc/localtime

Hardver Podesio sam sat na UTC:

# cat /etc/sysconfig/clock | grep UTC # UTC=true označava da je sat postavljen na UTC; UTC=true ntp2-server:~# cat /etc/default/rcS | grep UTC UTC=da

Prvi primjer specificira konfiguracijsku datoteku koja definira upotrebu UTC-a za RH, drugi - za Deb distribucije.

Pored postavljanja postavki za korištenje UTC vremena, morate postaviti hardversko vrijeme. (u većini slučajeva to nije neophodno, jer je postavljeno sistemsko vreme neizbežno sinhronizovano sa hardverom, od strane kernela). Međutim, ako ste voljni da to učinite... hwclock komandačita i postavlja hardverski sat na osnovu parametara koji su mu proslijeđeni. Dostupne opcije su opisane na stranici priručnika za komandu. Evo nekoliko primjera korištenja hwclock:

ntp-server# hwclock # čita vrijeme sa hardverskog sata ntp-server# hwclock --systohc --utc # postavlja hardverski sat na # UTC na osnovu sistemskog vremena ntp-server# hwclock --systohc # postavlja hardverski sat # na lokalno vrijeme na osnovu sistemskog vremena ntp-server# hwclock --set --date "22. mart 2002. 13:17" # postavlja hardverski sat # na navedeni niz

Druga opcija za promjenu vremena na hardverskom satu je pristup BIOS-u kada se sistem pokrene. Budući da je OS vrijeme nezavisno od hardverskog sata, sve promjene u BIOS-u će biti uzete u obzir pri sljedećem pokretanju.

Sada kada smo sve pripremili i instalirali, idemo dalje na gradilištu.

Upravljanje ntpd demonom

Kontrola ntpd daemon se ne razlikuje od kontrole bilo kojih drugih demona. Pokrenite ili ponovo pokrenite ntpd servis:

#/etc/init.d/ntp start #/etc/init.d/ntp restart

zaustaviti:

#/etc/init.d/ntp stop

#/bin/kill `mačka /var/run/ntpd.pid`

Demon ima sljedeće opcije pokretanja:

P - PID fajl,
-g - omogući prelazak na veliki vremenski skok
-c - konfiguracioni fajl
-q - prisiljavati ručnu sinhronizaciju

Postavljanje ntpd servera

Prije svega, savjetujem vam da promijenite parametre pokretanja demona u sljedećoj konfiguracijskoj datoteci:

Ntp-server:~# cat /etc/default/ntp NTPD_OPTS="-g"

# cat /etc/sysconfig/ntpd # Parametri za NTP demon. # Pogledajte ntpd(8) za više detalja. .... # Određuje dodatne parametre za ntpd. NTPD_ARGS="-g"

Ova postavka će omogućiti sinhronizaciju sata čak i ako postoji veoma velika vremenska razlika.

Dakle, kao što sam rekao, informacije o konfiguraciji ntpd daemon je u fajlu /etc/ntp.conf. Sintaksa datoteke je standardna, kao iu mnogim drugim konfiguracijama: prazne linije i redovi koji počinju sa "#" se zanemaruju. Evo jednostavnog primjera:

Ntp-server:~# cat /etc/ntp.conf server ntplocal.example.com preferira server timeserver.example.org server ntp2a.example.net driftfile /var/db/ntp.drift

Parametar server specificira koji će se serveri koristiti za sinhronizaciju, jedan po redu. Ako je serveru dat argument preferirati, kako ntplocal.example.com, tada se ovom serveru daje prednost nad ostalima. Odgovor željenog servera će biti odbačen ako se značajno razlikuje od odgovora drugih servera, u suprotnom će se koristiti bez obzira na druge odgovore. Argument preferirati obično se koristi za NTP servere za koje se zna da su vrlo precizni, kao što su oni koji koriste namjensku opremu za mjerenje vremena.

Parametar driftfile specificira datoteku koja se koristi za pohranjivanje pomaka sistemskog sata. Koliko sam shvatio, ova datoteka stalno pohranjuje neku vrijednost koja se formira na osnovu analize prošlih podešavanja vremena, a ako vanjski izvori vremena postanu nedostupni, onda se prilagođavanje vremena vrši prema vrijednosti iz datoteke drift. Ne smije se mijenjati bilo kojim drugim procesom. I prije specificiranja ove datoteke u konfiguraciji - datoteka mora biti kreirana.

Podrazumevano, NTP server će biti dostupan svim hostovima na Internetu. Parametar ograničiti u fajlu /etc/ntp.conf omogućava vam da kontrolišete koje mašine mogu da pristupe vašem serveru. Ako želiš spriječiti sve mašine da pristupe vašem NTP serveru, dodajte sljedeći red u datoteku /etc/ntp.conf:

ograničiti zadano zanemariti

Ako želiš dopustiti sinhronizirajte svoj sat samo sa svojim serverom mašine na vašoj mreži, ali zabrana njima konfigurisati server ili da budete ravnopravni učesnici u vremenskoj sinhronizaciji, onda umesto navedenog dodajte red:

ograničiti 192.168.1.0 maska ​​255.255.255.0 nomodificirati notrap

gdje je 192.168.1.0 IP adresa vaše mreže, a 255.255.255.0 njena mrežna maska. /etc/ntp.conf može sadržavati više direktiva ograničenja.

Da bi demon radio ispravno i tačnije, preporučljivo je odabrati server nivoa - od stratuma 2 (možete, naravno, stratum1, ali morate ubiti vrijeme tražeći takav server) i od odabranog stratuma 2 one do koje je minimalna "udaljenost". Obično takve servere može obezbijediti vaš ISP. Broj odabranih servera je poželjan - više od 2-3, što više to bolje, ali u razumnim granicama. Ako ste previše lijeni da odaberete najbolje servere, onda možete preuzeti listu otvorenih servera drugog nivoa odavde: http://support.ntp.org/bin/view/Servers/StratumTwoTimeServers.

Odaberite listu referentnih NTP servera

Idemo na navedenu adresu (http://support.ntp.org/bin/view/Servers/StratumTwoTimeServers) i biramo listu početnih servera. Sa ove liste biramo servere koji ispunjavaju naše zahteve analizom izlaza naredbe ntpdate. Kada se naredba izvrši, primjenjuje se sljedeća sintaksa:

ntpdate parametri serveri_space odvojeni

Da naš upit ne bi izvršio promjene u sistemu, moramo koristiti parametar -q, koji ukazuje na korištenje upita bez unošenja promjena. Također je moguće koristiti -d prekidač, koji označava da će se naredba izvršiti u debug modu, prikazujući dodatne informacije, bez pravih promjena (sa ovim prekidačem se prikazuje gomila drugog smeća :), što mi ne radimo trenutno ne treba). Pogledajte man 8 ntpdate za druge opcije. Sa navedenog linka odabrao sam sve servere otvorenog pristupa koji se nalaze u Rusiji (RU) + onaj koji je dao provajder i pokrenuo naredbu, ispalo je otprilike ovako:

ntp-server:~# ntpdate -q ntp2.ntp-servers.net ntp1.vniiftri.ru ntp2.vniiftri.ru ntp4.vniiftri.ru ntp0.ntp-servers.net ntp1.ntp-servers.net ntp.corbina.net Server 88.147.255.85, Stratum 1, Offset 0.006494, Stratum 1, Stratum 1, Odgovor 0.06920 Server 62.117.76.141, Stratum 0.06918 Server 62.117.76.140, Stratum 1, Offset 0.004823, Odgoda 0.07350 server 88.147.254.228, Stratum 1, Offset -0.002355, Kašnjenje 0.12030 Server 88.147.25.229, Stratum 1, Offset 0.1055, Stratum 1, Stratum 0,0051 Kašnjenje servera 195,14 .40.141, Stratum 2 , pomak 0,002846, kašnjenje 0,07188 13 Jan 19:14:09 ntpdate: podešavanje vremena servera 62.117.76.141 pomak 0,003147 sek

U primjeru, naši serveri su uspješno izdali nivo stratum1, što je dobra vijest (osim servera provajdera), offset je vremenska razlika sa ovim serverom u sekundama, kašnjenje je kašnjenje sinhronizacije u sekundama. Obično, b O Veća preciznost se postiže kada se koriste serveri koji imaju nisko kašnjenje prijenosa paketa preko mreže. Da biste saznali, možete koristiti . Shodno tome, prvo birajući one sa kraćim vremenom odziva, a od njih one sa manje skokova. Da ne bih gubio vrijeme, koristit ću sve navedene servere i unijeti ih u konfiguracijski fajl. Ukupno, znajući sve gore navedeno, opisat ću svoj rezultujući fajl /etc/ntp.conf:

Ntp-server:~# cat /etc/ntp.conf # LAN serveri (komentarisani, ne koriste se - samo jedan server na mreži) #server 192.168.0.2 #server 192.168.0.5 # Internet server server ntp2.ntp-serveri. net server ntp1.vniiftri.ru server ntp2.vniiftri.ru server ntp4.vniiftri.ru server ntp0.ntp-servers.net server ntp1.ntp-servers.net server ntp3.vniiftri.ru server ntp.corbina.net # Datoteke servera driftfile /var/lib/ntp/ntp.drift logfile /var/log/ntpstats # ograničava pristup serveru: # ignoriraj sve po defaultu ograniči default ignore # localhost bez parametara - sve je dozvoljeno. Parametri se odnose samo na zabrane. ograničiti 127.0.0.1 # u nastavku su opisani serveri sa kojima se sinkroniziramo u lokalnoj mreži. # Dozvolite im sve osim zamki i zahtjeva za nas ograničiti 192.168.0.2 noquery notrap ograničiti 192.168.0.5 noquery notrap # za LAN također dozvoljavamo sve osim zamki i modifikacija ograničiti 192.168.0.1 maska ​​vrijeme 255.255.255.0 nomerpe dozvoliti vanjski pristup : ograničiti ntp2.ntp-servers.net ograničiti ntp1.vniiftri.ru ograničiti ntp2.vniiftri.ru ograničiti ntp4.vniiftri.ru ograničiti ntp0.ntp-servers.net ograničiti ntp1.ntp-servers.net ograničiti ntp3.vniiftri.ru ograničiti ntp.corbina.net # i ovo je hak koji postavlja nivo poverenja za server (strata) za sebe jednak 3 # ukratko, što je viši nivo, to je manji broj. 0 je atomski sat, #1 je sinhronizovan sa njim, 2 je sa prvim, i tako dalje. server 127.127.1.1 fudge 127.127.1.1 stratum 3

Za dublje razumijevanje i konfiguraciju servera, opisat ću neke opcije ntpd konfiguracije koje nisam spomenuo:

• omogući onemogući auth/monitor/pll/pps/stats - isključite prekidač režim rada:
  • auth- komunicirati sa nespomenutim susjedima samo u načinu autentifikacije;
  • monitor- dozvoli praćenje zahtjeva;
  • pll- dozvoliti postavljanje lokalne taktne frekvencije putem NTP-a;
  • statistika- dozvoli prikupljanje statističkih podataka;
• statistikaloopstats- na svaku modifikaciju lokalnog sata, upisuje liniju u datoteku loopstats;
• statistikapeerstats- svaka komunikacija sa susjedom se bilježi u dnevnik pohranjen u datoteci peerstats;
• statistikaclockstats- svaka poruka iz lokalnog drajvera sata se upisuje u dnevnik pohranjen u datoteci clockstats;
• statsdir(ime_kataloga_sa_statistikom)- postavlja ime direktorija u kojem će se nalaziti fajlovi sa statistikom servera;
• filegen - definira algoritam za generiranje naziva fajlova koji se sastoje od:
  • prefiks- konstantni dio imena datoteke, postavljen ili tokom kompilacije ili posebnim konfiguracijskim naredbama;
  • Ime dokumenta- dodato u prefiks bez kose crte, dvije tačke su zabranjene, može se promijeniti ključem datoteke;
  • sufiks- generira se ovisno o nazivu tipa;
• ograničitinumerička adresa- postavlja ograničenje pristupa: paketi se sortiraju i maskiraju, izvorna adresa se uzima i poredi uzastopno, zastavica se uzima iz posljednjeg uspješnog poređenja pristup:
  • bez zastava- dati pristup;
  • ignore- ignorisati sve pakete;
  • noquery- ignorisati NTP 6 i 7 pakete (zahtjev i modifikacija stanja);
  • nomodify- ignorisati NTP 6 i 7 pakete (izmjena stanja);
  • ograničeno- opslužuju samo ograničen broj klijenata iz date mreže;
  • nopeer- služe domaćinu, ali se ne sinhronizuju sa njim;
• clientlimitlimit- za zastavu ograničeno određuje maksimalan broj usluženih klijenata (podrazumevano 3);

Ukupno smo dobili ntpd-server, koji je sinhronizovan sa spoljnim svetom, omogućava vam da dobijete vreme za klijente iz lokalne mreže 192.168.0.1 sa maskom 255.255.255.0, a može se sinhronizovati i sa lokalnim serverom (ako dekomentirate nekoliko redova). Samo treba da podesimo klijente i naučimo kako da nadgledamo naš server.

Nadgledanje ntpd servera i sinhronizacija

Kada ste sve spremni. NTP će zadržati vrijeme u sinhronizaciji. Ovaj proces se može posmatrati korišćenjem naredbe NTP upit (ntpq):

Ntp-server:~# ntpq -p daljinski refid st t kada anketa dosegne kašnjenje offset jitter =============================== = ===============================================-n3.vrijeme1. d6.hsd .PPS. 1 u 34 64 177 70.162 2.375 8.618 +ntp1.vniiftri.r .PPS. 1 u 33 64 177 43.479 -0.020 10.198 *ntp2.vniiftri.r .PPS. 1 u 6 64 177 43.616 -0.192 0.688 +ntp4.vniiftri.r .PPS. 1 u 4 64 177 43,623 0,440 0,546 -n1.time1.d6.hsd .PPS. 1 u 53 64 77 92.865 -11.358 38.346 -ns1.hsdn.org .GPS. 1 u 40 64 177 78.057 -3.292 35.083 -ntp3.vniiftri.r .PPS. 1 u 44 64 77 47.667 2.292 2.611 -scylla-l0.msk.c 192.43.244.18 2 u 62 64 77 41.565 -1.564 28.914

Ova naredba sa prekidačem -p daje standardnom izlazu listu izvora vremena sa njihovim karakteristikama (ostale opcije komande u man ntpq). Značenje svake kolone je sljedeće:

Ime udaljenog NTP servera. Ako navedete prekidač -n, umjesto imena dobit ćete IP adrese servera.

Označava odakle svaki server trenutno dobija vrijeme. To može biti ime hosta ili nešto poput .GPS-a koji ukazuje na porijeklo Globalnog sistema pozicioniranja.

Stratum (nivo) je broj od 1 do 16, koji ukazuje na tačnost servera. Jedan znači maksimalnu preciznost, 16 znači da server nije dostupan. Vaš nivo će biti jednak nivou najmanje preciznog udaljenog servera plus 1.

Interval između anketa (u sekundama). Vrijednost će se mijenjati između minimalne i maksimalne stope glasanja. Na početku će interval biti mali tako da se sinhronizacija odvija brzo. Nakon što se satovi sinhronizuju, interval počinje da se povećava kako bi se smanjio promet i opterećenje na popularnim serverima vremena.

Oktalni prikaz 8-bitnog niza koji predstavlja rezultate posljednjih osam pokušaja povezivanja na server. Bit je postavljen ako je udaljeni server odgovorio.

Količina vremena (u sekundama) potrebnog da se dobije odgovor na upit "koliko je sati?".

Najvažnije polje. Razlika između vremena lokalnog i udaljenog servera. Tokom sinhronizacije, ova vrijednost bi se trebala smanjiti (bliže nuli), što ukazuje da sat lokalne mašine postaje tačniji.

Disperzija (Jitter) je mjera statističkih odstupanja od vrijednosti pomaka (offset polje) u nekoliko uspješnih parova zahtjev-odgovor. Poželjna je manja vrijednost disperzije jer omogućava precizniju vremensku sinhronizaciju.

Značenje znakova ispred imena servera

x - lažni izvor prema algoritmu raskrsnice;
. - isključen sa liste kandidata zbog velike udaljenosti;
- - uklonjeno sa liste kandidata algoritmom klasteriranja;
+ - uvršten na konačnu listu kandidata;
# - odabrano za sinhronizaciju, ali postoji 6 najboljih kandidata;
* - odabrano za sinhronizaciju;
o - odabrano za sinhronizaciju, ali se koristi PPS;
prostor - previše nivoa, ciklusa ili očigledne greške;

ntpd usluga"pametna" i sama uklanja izvore vremena koji su previše izvan granica razuma. Neko vrijeme nakon pokretanja, ntpd će odabrati najpouzdanije izvore podataka i sinhronizirati se s njima. Servis redovno pregledava spisak referentnih NTP servera koje pružamo.

Možete provjeriti mogućnost sinhronizacije lokalno na serveru naredbom:

Ntp-server:~# ntpdate -q localhost server 127.0.0.1, stratum 2, offset -0.000053, kašnjenje 0.02573 server::1, stratum 2, offset -0.000048, kašnjenje 0.02571: 14. Januar: 57. podešavanje vremena servera ::1 pomak -0,000048 sek

Iz izlaza naredbe može se vidjeti da je naš server već postao nivo stratuma 2. Potrebno je neko vrijeme da dostigne ovaj nivo. Možda će u prvih 10-15 minuta nivo servera biti viši.

Ispravan rad ntp servera se takođe može proceniti na osnovu evidencije ntpd demona:

Ntp-server:~# cat /var/log/ntpstats/ntp 13. januar 20:13:16 ntpd: Slušanje na interfejsu #5 eth0, fe80::a00:27ff:fec1:8059#123 Omogućeno 13. januara 20:13: 16 ntpd: Slušanje na interfejsu #6 eth0, 192.168.0.8#123 Omogućeno 14. januara 14:31:00 ntpd: sinhronizovano na 62.117.76.142, stratum 1 14. januar 14:31:10 vreme reset14 jan. :31:10 ntpd: promjena statusa sinhronizacije vremena kernela 0001 14. januar 14:34:31 ntpd: sinkronizirano na 88.147.255.85, stratum 1 14. januar 14:36:04 ntpd: sinkronizirano na 7. januar 14.1111.117. 04:36 ntpd: sinkroniziran na 62.117.76.142, stratum 1 14. jan 15:10:58 ntpd: sinkroniziran na 62.117.76.140, stratum 1 14. januar 15:17:54 ntpd: 13 jan. : sinkronizirano na 62.117.76.140, stratum 1 14. januar 15:32:14 ntpd: reset vremena +13.139105 s

Konfigurisanje netfilter (iptables) za NTP server

Nakon konfigurisanja servera, bilo bi dobro da ga zaštitite. Znamo da server radi na portu 123/udp, dok se zahtjevi šalju i sa porta 123/udp. Nakon što pročitate članak i pročitate praktične, možete kreirati pravila filtriranja mrežnog prometa:

Ntp ~ # iptables-save # generička pravila za iptables za DNS *filter:INPUT DROP :NAPUŠTANJE NAPREĐA :IZLAZ DROP -A INPUT -i lo -j PRIHVATI -A INPUT -m conntrack --ctstate POVEZANO,USPOSTAVLJENO -j PRIHVATI - -m conntrack --ctstate INVALID -j DROP # dozvoli LAN pristup NTP serveru: -A INPUT -s 192.168.1.1/24 -d 192.168.1.1/32 -p udp -m udp --dport 123 -m conntrack - - ctstate NOVO -j PRIHVATI -A IZLAZ -o lo -j PRIHVATI -A IZLAZ -p icmp -j PRIHVATI -A IZLAZ -p udp -m udp --sport 32768:61000 -j PRIHVATI -A IZLAZ -p tcp -m --sport 32768:61000 -j ACCEPT -A OUTPUT -m conntrack --ctstate POVEZANO, ESTABLISHED -j ACCEPT # dozvoli pristup NTP serveru za odlazne zahtjeve -A IZLAZ -p udp -m udp --sport 123 --dport 123 -m conntrack --ctstate NOVO -j PRIHVATI UPOZIVANJE

Ovo je tipičan primjer! Da biste postavili iptables pravila za svoje zadatke i konfiguraciju mreže, morate razumjeti kako netfilter radi u Linuxu čitajući gornje članke.

Postavljanje klijentskih mašina

Za sinhronizaciju vremena na UNIX mašinama lokalnoj mreži, preporučljivo je koristiti uslužni program ntpdate, pokrećući ga nekoliko puta dnevno, na primjer, svaki sat. Da biste to učinili, morate dodati sljedeći red:

0 * * * * /usr/sbin/ntpdate -s

Prekidač -s usmjerava izlaz naredbe. Ako klijentske mašine imaju nekoliko dodatnih megabajta RAM-a, onda možete pokrenuti ntpd demon, baš kao na serveru sa sljedećom konfiguracijom:

server ograničiti default ignore ograničiti noquery notrap limit 127.0.0.1 nomodify notrap

Mislim da je sve jasno u ovoj konfiguraciji: izvor vremena (server) je lokalni ntpd server, zabrani pristup svima, dozvoli samo lokalni ntpd server.

Također, na klijentima morate ispravno odrediti u kojem formatu želite pohraniti vrijeme i odabrati ispravnu vremensku zonu, .

Za konfiguraciju Windows NTP klijenta, morate pokrenuti sljedeće komande u konzoli:

C:\>nettime /setsntp: Komanda je uspješno završena. C:\>net stop w32time Windows Time usluga se zaustavlja. Usluga Windows Time je uspješno zaustavljena. C:\>net start w32time Pokreće se Windows Time usluga. Usluga Windows Time je uspješno pokrenuta. C:\>net time /querysntp Trenutna SNTP vrijednost je: Komanda je uspješno završena.

Zaključak

Pa, kao i sve! Ispostavilo se da je obim članka ogroman ... ni sam to nisam očekivao. Dozvolite mi da sumiram malo. Nadam se da nam je u ovom članku postalo jasno šta je i kako radi NTP server. Naučili smo kako da konfigurišemo server i klijente na UNIX i Windows mašinama. Ukratko, struktura sinhronizacije vremena u lokalnoj mreži je sledeća: U lokalnoj mreži postoji 1,2 ili više servera tačnog vremena, oni sinhronizuju svoje vreme sa eksternim izvorima u globalnoj mreži. Postavke servera i klijenta su zasnovane na /etc/ntp.conf (glavni konfiguracioni fajl ntpd demona), /etc/localtime (trenutna datoteka vremenske zone), /etc/sysconfig/ntp (za RH) i /etc/default /ntp (za Deb) - datoteke parametara pokretanja demona. Za lokalni ntp server, eksterni serveri su navedeni u konfiguracionoj datoteci za primanje vremena i pristup je dozvoljen za ove servere sa restriktivnim parametrom, kao i za računare na lokalnoj mreži, za klijente je naveden izvor vremena - lokalni serveri na lokalnoj mreži, a pristup je također odbijen za sve osim za izvor vremena u lokalnoj mreži. Sve. Hvala svima na pažnji! Biće mi drago komentarima!

• (arhiva članaka) opisuje kako da povežete GPS sa serverom da organizujete server tačnog vremena na nivou Stratum1.
• opisuje kako konfigurirati autorizaciju na ntp serveru.